Registro de Actividades de Tratamiento (RAT): Preguntas frecuentes 2024

Registro de Actividades de Tratamiento (RAT): Preguntas frecuentes 2024
Événement

Una de las obligaciones presentes en el RGPD (art. 30) es la de tener un Registro de Actividades de Tratamiento (RAT) actualizado y conforme al reglamento. Si estás pensando en redactar uno y no sabes por dónde empezar, a continuación respondemos a las preguntas más frecuentes. 

¿Qué es un Registro de Actividades de Tratamiento? 

En esencia, el RAT es un documento escrito o digital que recoge toda la información relativa a los tratamientos de datos personales realizados por una empresa, organismo público o autónomo.

Es obligatorio para empresas de más de 250 empleados y para todos aquellos tratamientos que, independientemente del número de empleados o tipo de empresa, queden contemplados en los siguientes supuestos: 

  • Recogida no ocasional y/o masiva (se tratan datos personales de forma habitual) 
  • El tratamiento supone un riesgo para los derechos y libertades de los ciudadanos 
  • Datos relativos a condenas e infracciones penales 
  • Información personal incluida en las llamadas “categorías especiales” de datos (art. 9 del RGPD):

Origen étnico o racial

Opiniones políticas

Convicciones religiosas o filosóficas

Afiliación sindical

Datos biométricos (iris, huella dactilar…)

Datos relativos a la salud

Datos relativos a la vida sexual o a la orientación sexual

¿Quién redacta y actualiza un RAT? 

Según el artículo 30 del RGPD, el Registro de Actividades de Tratamiento debe ser elaborado y actualizado por el responsable, el encargado de tratamiento o sus representantes autorizados. Cada figura jurídica se hará cargo de los datos recogidos bajo su responsabilidad. 

El Reglamento General de Protección de Datos no facilita un estándar para elaborar el RAT. De esta forma, cada responsable y encargado tiene la libertad de estructurar y actualizar los documentos siguiendo las particularidades de cada tipo de tratamiento y empresa. 

En cualquier caso, y siempre que así se solicite, los Registros de Actividades de Tratamiento estarán disponibles para las autoridades de control competentes

Si trabajas en varios países europeos, mejora ya tu competitividad y evita costosas multas con una buena estrategia de datos personales. ¡Confía en Actecil y cumple la ley dónde y cómo quieras! 

¿Qué información debe contener mi Registro de Actividades de Tratamiento? 

El RGPD, de nuevo en su artículo 30, diferencia parcialmente un RAT en función de si los redacta un responsable o un encargado de tratamiento. 

El responsable de tratamiento debe incluir:  

  • Nombre y datos de contacto del responsable, del corresponsable, del representante del responsable y del delegado de protección de datos
  • Finalidad del tratamiento. 
  • Descripción de las categorías de interesados y de las categorías de datos personales. 
  • Categorías de destinatarios, incluidos los destinatarios en terceros países u organizaciones internacionales. 
  • Transferencias de datos a un tercer país o una organización internacional, incluida su identificación y las garantías adecuadas. 
  • Plazos previstos para la supresión de las categorías y una descripción de las medidas técnicas y organizativas de seguridad. 

El encargado del tratamiento llevará, a su vez, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable. Este contendrá: 

  • Nombre y datos de contacto del encargado, de cada responsable, del representante del responsable y del delegado de protección de datos. 
  • Categorías de tratamientos efectuados por cada responsable 
  • Transferencias de datos a un tercer país u organización internacional, incluida su identificación y las garantías adecuadas. 
  • Descripción de las medidas técnicas y organizativas de seguridad. 

La descripción de seguridad se refiere todos aquellos procesos y medidas que ayuden a verificar y asegurar la integridad, confidencialidad y disponibilidad tanto de los tratamientos como de las propias medidas de seguridad. 

¿Qué pasa si no tengo Registro de Actividades de Tratamiento? 

Según la LOPDGDD, no disponer del registro de actividades de tratamiento establecido en el artículo 30 del RGPD supone una infracción grave. Como organismo independiente, la encargada de controlar y sancionar será la Agencia Española de Protección de Datos (AEPD). Las multas administrativas son públicas y pueden alcanzar los 20 millones de euros o el 4% de la facturación global de la empresa. 

Además de las sanciones, un error de estas características supondrá un gran daño a la reputación e imagen de marca de la empresa, así como una pérdida notable de la confianza de nuestros clientes y colaboradores. 

Actecil es tu aliado RGPD para construir una estrategia de datos personales acorde a tus objetivos de negocio. Nuestros consultores, todos ellos DPO titulados ante las autoridades europeas, te ayudarán a dirigir y asegurar los sistemas de información personal de tu empresa. ¡Céntrate en tu plan comercial mientras nosotros nos encargamos de la protección de datos! 

Comparte este artículo

Artículos similares

Guía RGPD del derecho de acceso: ¡todo lo que necesitas saber!
Événement

Guía RGPD del derecho de acceso: ¡todo lo que necesitas saber!

Leer más
Análisis de Riesgos: herramienta clave en protección de datos
Événement

Análisis de Riesgos: herramienta clave en protección de datos

Leer más